AVV

AUFTRAGSVERARBEITUNGSVEREINBARUNG (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen

Elektrotechnik Schmitt Gondrom GmbH
Sonnenweg 8, 30916 Isernhagen, Deutschland

nachfolgend „Auftragnehmer“

und

dem jeweiligen Kunden der Software „Streaming Tool“
nachfolgend „Auftraggeber“

gemeinsam auch die „Parteien“.

§ 1 Gegenstand der Vereinbarung

(1) Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO im Zusammenhang mit der Nutzung der webbasierten Software „Streaming Tool“.

(2) Gegenstand der Verarbeitung ist die technische Bereitstellung der Software zur Erstellung, Konfiguration, Verwaltung, Übertragung und Ausspielung von Live- und On-Demand-Streaming-Inhalten, virtuellen TV-Formaten sowie hiermit verbundener Werbeinhalte.

(3) Die Verarbeitung erfolgt ausschließlich zur Erbringung der im zugrunde liegenden Nutzungsvertrag geschuldeten Leistungen.

(4) Diese Vereinbarung ist akzessorisch zum Hauptvertrag und begründet kein eigenständiges Vertragsverhältnis.

§ 2 Dauer der Verarbeitung

(1) Die Verarbeitung beginnt mit Wirksamwerden des Hauptvertrags und dauert für dessen Laufzeit an.

(2) Sie endet mit der Beendigung des Hauptvertrags, sofern sich aus dieser Vereinbarung oder aus gesetzlichen Vorgaben keine weitergehenden Verpflichtungen ergeben.

§ 3 Art und Zweck der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten umfasst insbesondere das Erheben, Erfassen, Speichern, Strukturieren, Anpassen, Auslesen, Verwenden, Übermitteln, Protokollieren, Zwischenspeichern sowie Löschen.

(2) Zweck der Verarbeitung ist die technische Bereitstellung, der Betrieb, die Wartung, die Absicherung sowie die Weiterentwicklung der Software, einschließlich der Sicherstellung von Stabilität, Funktionalität, Übertragungsfähigkeit und Systemsicherheit der Streaming-Infrastruktur.

(3) Eine Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragnehmers findet nicht statt.

§ 4 Art der personenbezogenen Daten und betroffene Personen

(1) Verarbeitet werden können insbesondere personenbezogene Daten aus folgenden Kategorien: Stammdaten, Kontaktdaten, Nutzer- und Zugriffsdaten, Verbindungs- und Protokolldaten, Geräte- und Browserinformationen, Streaming- und Metadaten, Kommunikationsinhalte sowie sonstige vom Auftraggeber im Rahmen der Nutzung der Software verarbeitete Inhalte.

(2) Betroffene Personen sind insbesondere Mitarbeiter des Auftraggebers, Endnutzer, Zuschauer, Besucher, Kunden, Auftraggeber oder sonstige natürliche Personen, deren personenbezogene Daten im Rahmen der Nutzung der Software verarbeitet werden.

§ 5 Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Weisungen werden regelmäßig durch die Nutzung der Software, deren Konfiguration sowie durch individuelle Vorgaben des Auftraggebers erteilt.

(3) Der Auftragnehmer ist berechtigt, Weisungen zurückzuweisen, sofern diese gegen datenschutzrechtliche Vorschriften verstoßen. In diesem Fall informiert der Auftragnehmer den Auftraggeber unverzüglich.

§ 6 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser Vereinbarung und unter Beachtung der geltenden datenschutzrechtlichen Vorschriften.

(2) Der Auftragnehmer verpflichtet die mit der Verarbeitung betrauten Personen auf Vertraulichkeit und setzt ausschließlich befugtes und entsprechend geschultes Personal ein.

(3) Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(4) Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von Betroffenenrechten sowie bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO.

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.

(6) Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich im Rahmen dieser Vereinbarung oder aufgrund gesetzlicher Verpflichtungen.

§ 7 Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.

(2) Der Auftraggeber stellt sicher, dass für sämtliche Verarbeitungen eine gültige datenschutzrechtliche Rechtsgrundlage besteht und gesetzliche Informationspflichten erfüllt werden.

(3) Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO.

§ 8 Unterauftragsverarbeiter

(1) Der Auftragnehmer ist berechtigt, zur Erbringung der vertraglichen Leistungen Unterauftragsverarbeiter, insbesondere Hosting-, Cloud-, Content-Delivery- und Streaming-Infrastrukturdienstleister, einzusetzen.

(2) Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter vertraglich entsprechend den Anforderungen des Art. 28 DSGVO verpflichtet werden.

(3) Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums.

(4) Sofern im Ausnahmefall eine Verarbeitung in Drittstaaten erfolgt, stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen.

§ 9 Einsatz KI-gestützter Technologien

(1) Der Auftragnehmer ist berechtigt, im Rahmen der Leistungserbringung automatisierte Verfahren und KI-gestützte Technologien einzusetzen.

(2) Die Verarbeitung erfolgt ausschließlich im Auftrag und nach Weisung des Auftraggebers.

(3) Eine inhaltliche Verantwortung oder Entscheidungsverantwortung für durch KI-gestützte Verfahren erzeugte Ergebnisse übernimmt der Auftragnehmer nicht.

§ 10 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über ihm bekannt gewordene Verletzungen des Schutzes personenbezogener Daten im Sinne des Art. 33 DSGVO.

§ 11 Kontroll- und Nachweispflichten

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung in angemessenem Umfang zu überprüfen.

(2) Der Auftragnehmer ist berechtigt, geeignete Nachweise, insbesondere Eigenerklärungen, Zertifizierungen oder Prüfberichte, anstelle von Vor-Ort-Prüfungen vorzulegen.

§ 12 Beendigung der Verarbeitung

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer personenbezogene Daten oder gibt diese auf Weisung des Auftraggebers zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Datensicherungen werden im Rahmen der regulären Lösch- und Überschreibungszyklen verarbeitet.

§ 13 Haftung

Die Haftung der Parteien richtet sich ausschließlich nach den Haftungsregelungen des Hauptvertrags.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Gerichtsstand ist Hannover.

(4) Die Anlage 1 Technische und organisatorische Maßnahmen ist Bestandteil dieser Vereinbarung.

ANLAGE 1

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
gemäß Art. 32 DSGVO

Der Zutritt zu Server- und Betriebsräumen ist auf autorisierte Personen beschränkt und durch geeignete physische Sicherheitsmaßnahmen geschützt.
Der Zugang zu IT-Systemen erfolgt ausschließlich über personalisierte Benutzerkonten unter Einsatz sicherer Authentifizierungsverfahren.
Der Zugriff auf personenbezogene Daten ist rollenbasiert geregelt und auf das erforderliche Maß beschränkt.
Die Übertragung personenbezogener Daten erfolgt verschlüsselt unter Verwendung anerkannter Transportverschlüsselungsverfahren.
Zugriffe und sicherheitsrelevante Systemereignisse werden protokolliert, um eine Nachvollziehbarkeit der Verarbeitung sicherzustellen.
Es bestehen Maßnahmen zur Sicherstellung der Verfügbarkeit der Systeme einschließlich Wiederherstellungs- und Ausfallkonzepte.
Daten verschiedener Auftraggeber werden logisch voneinander getrennt verarbeitet.
Unterauftragsverarbeiter werden ausschließlich auf Grundlage vertraglicher Vereinbarungen gemäß Art. 28 DSGVO eingesetzt.